Dock安全设定

最新推荐文章于 2020-08-20 20:34:28 发布
最新推荐文章于 2020-08-20 20:34:28 发布
阅读量283 收藏
点赞数
分类专栏: Linux学习 文章标签: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhandar44/article/details/98875537
版权

1、安全设定

(1)镜像安全

使用安全镜像

去除镜像setuid和setgid权限

最小安装

Docker内容信任

安全漏洞扫描

非root用户运行

(2)容器安全

docker主机安全加固

限制网络流量

配置守护程序的TLS身份认证

用户命名空间支持

限制容器的cpu及内存

2、命名空间

当启动一个容器时,Docker将会为容器创建独立一个独立的命名空间用于隔离,通过该命名空间完成容器最基础的功能。

例:

3、控制组资源

当启动一个容器时,Docker将会为容器创建一个独立的控制组资源,其中包含内存,cpu,io等,当某一容器出现资源问题时不会影响主机和其他容器。

内存资源路径:/sys/fs/cgroup/memory/docker/

那一长串的序列由docker为容器创建的资源控制组

cpu资源路径:/sys/fs/cgroup/cpu/docker

(1)测试

1、限制cpu占用量

命令:docker run -it --name ub1 --cpu-quota 20000 ubuntu:latest

命令:cat cpu.cfs_quota_us

2、限制内存

docker run -it --name ub2 --memory 200MB --memory-swap 300MB ubuntu:latest

3、限制io

oflag=direct 不经过内存直接写入磁盘

4、设置特权

选项为--privileged=true

5、设置权限白名单

--cap-add

4、使用lxcfs增强docker隔离性和资源可见性

(1)安装lxcfs

(2)启动lxcfs

命令:lxcfs /var/lib/lxcfs &

(3)使用容器进行测试

docker run  -it --name ub1 --memory 150MB --memory-swap 150MB \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu:latest

 

Eskinlla
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker安全及日志管理
sukapulai的博客
07-04 484
容器的安全性问题的根源在于容器和宿主机共享内核。如果容器里的应用导致Linux内核崩溃,那么整个系统可能都会崩波。与虚拟机是不同的,虚拟机并没有与主机共享内核,虚拟机崩溃一般不会导致宿主机崩溃。虚拟机通过添加Hypervisor层(虚拟化中问层),虚拟出网卡、内存、CPU等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。 而Docker容器则是通过隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,再对权限、CPU资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。 容器与宿主机共享
Docker安全
weixin_60551759的博客
01-12 334
一、Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性 其他安全增强机制对容器安全性的影响 1、命名空间隔离的安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直
Docker( 八)docker的安全以及安全加固
清风
08-09 7654
一.概念解释 二.系统基础安全实验 1.docker与系统共享内核并且会在宿主机上产生相应的进程 [root@server1 ~]# docker run -it --name vm1 ubuntu root@f1c5528bcddb:/# ls bin dev home lib64 mnt proc run srv tmp var boot etc lib medi...
dock-compose启动mysql实例
sinat_36759535的博客
08-20 266
目录结构如下 docker-compose.yml编写 version: '2' services: mysql_iot: network_mode: "bridge" environment: MYSQL_ROOT_PASSWORD: "123456" MYSQL_USER: "root" MYSQL_PASSWORD: "123456" image: "mysql:5.7.2
Dock停靠(类似DELL的停靠工具)
02-22
安全性方面,Dock停靠工具通常不会对系统造成负面影响。Dock停靠.exe文件是一个执行程序,用于在Windows环境下运行Dock功能。然而,如同任何第三方软件一样,安装前应确保其来源可靠,避免潜在的安全风险。 总的...
VB 精仿360安全卫士的界面皮肤控件
08-14
3. **布局管理**:360安全卫士界面的布局十分规整,每个组件的位置和大小都有精确的设定。VB中的TableLayoutPanel或FlowLayoutPanel可以帮助我们实现这样的布局。通过调整控件的Dock属性和Anchor属性,可以使其在...
macOS:适用于Mac的良好指南
02-09
macOS设定 我的个人指南,用于设置好macOS 建立 # Removes all unused dock icons with one command defaults delete com.apple.dock persistent-apps ; killall Dock ##软件/工具 :rocket: 生产率 :locked_with_...
Stardock.ObjectDock.Plus.v1.90.535u
10-28
图标大小支持 5px-128px、图标支持自由更换、Dock 背景透明调节,众多的自定义功能,已经足以让用户自己设定出接近拟真的MacOS X Dock ... 这个新的 Plus 版本属于 ObjectDock 的增强版本,这是刚刚推出的正式版本...
TinkerTool mac 系统工具
05-13
 TinkerTool,这款软件能够让你安全快速的修改系统的默认配置,包括Finder、Dock、通用、桌面、应用程序、字体、文字平滑、登录项、iTunes等等,很多配置非常的实用,如Finder的隐藏文件的显示、Dock的"网格模式下...
Linux中的SELINUX介绍
zhandar44的博客
05-09 3649
1、什么是selinux? selinux作为内核型的加强性防火墙,提高对系统的安全保护,通过selinux对系统中的文件和资源添加标签,从而提高安全性 2、selinux安全级别 Disabled 不警告不拒绝 Enforcing...
[Linux]LNMP网站服务器架构搭建
zhandar44的博客
09-02 1857
1、介绍 LNMP为运行动态网站或服务器的架构,由Linux,Nginx,Mysql,PHP组成,其中的Mysql也可为MariaDB,PHP也可为Python。 2、环境设置 rhel 6.5 服务器IP:172.25.69.11 本地测试主机IP:172.25.69.250 3、安装PHP 方法一:通过配置的yum源进行安装 方法二:下载源码包,通过源码编译进行安装 以下介绍...
[Linux]shell中的变量
zhandar44的博客
06-13 1116
1、变量的类型 (1)环境级 仅在当前shell中使用,例a=1 (2)用户环境变量 用户变量写在写目录下的.bash_profile文件中,仅对当前用户生效 (3)系统环境变量 对所有用户生效,系统 /etc/profile,shell /etc/bashrc 2、变量的定义 (1)环境级定义 (2)用户环境级变量 在用户的家目录下编辑.bash_profile ...
Linux中实现dhcp功能
zhandar44的博客
04-17 1099
DHCP:DynamicHost ConfigurationProtocol动态主机配置协议,主要用于管理分配ip,有效提高地址的使用率。分配方式:自动分配,手动分配,动态分配 1、准备 远端主机eskserver ip:192.168.1.1 本地主机esk ip:dhcp动态获取 rpm包:dhcp-4.2.5-27.el7.x86_64.rpm 2、远端主机配置 2.1安装rpm...
[Linux]Apache(web服务器)设置
zhandar44的博客
05-23 955
1、介绍 Apache作为web服务器软件,可以广泛的使用在所有计算机平台 以下介绍为LAMP环境搭建 L:Linux A:Apache M:MariaDB或MySQL,数据库管理系统 P:PHP或Python,Perl 2、安装Apache (1)通过yum仓库查找Apache 命令:yum search Apache 安装所选内容 命令:yum install h...
[Linux]权限管理
zhandar44的博客
04-03 928
1、文件属性 -(文件) d(目录) c(字符设备) l(链接文件) s(套接字) b(可供存储的接口设备) 例: ls -l file (1)-表示文件 (2)rw-r—r--表示权限,分别为所属用户的权限 用户组的权限 其他用户的权限 (3)digital表示系统记录文件的次数 (4)所属用户 (5)所属用户组 (6)文件的大小 (7)最后一次修改的时间 ...
[Linux]文件打包与压缩
zhandar44的博客
04-10 801
1、打包和压缩 打包:将多个文件合并成单个文件方便管理 压缩:将单个大文件压缩进行压缩,无法压缩多个文件 2、tar命令 格式:tar [选项] [文件/目录] 选项: -c 创建(不能单独跟参数c) -v 显示过程 -f ...
[Linux]expect介绍
zhandar44的博客
06-13 760
1、介绍 expect是自动应答命令,对交互式命令自动化的执行。可用于自动化ssh及ftp。 2、expect中命令 spawn:监控程序,用于监控提出的交互性问题 send:发送字符串至交互问题 interact:回答完交互问题留在交互界面 exp_continue:匹配问题不存在时继续执行动作 expect eof:回答完交互问题退出expect set NAME [ lind...
[Linux]网桥设置及链路聚合
zhandar44的博客
05-16 725
1、网络桥接 设置网络桥接不仅可以用在主机和客户机同时上网网络互不干扰,也可作用在主机和虚拟机中。虚拟机为虚拟设备,虚拟机的数据收发需要通过主机内核进行处理,设置网络桥接使得主机和虚拟机的网卡连接在网桥上,使得虚拟机可向外通信。 2、网桥设置 2.1文件方式设置 网卡配置文件 路径: /etc/sysconfig/network-scripts/ifcfg-eno1(ifcfg为文件前...
jellyfin dock
最新发布
09-06
Jellyfin Dock是Jellyfin媒体服务器的一个重要组件。Jellyfin是一个开源的媒体服务器,具有流媒体和媒体库管理功能。它允许用户通过互联网在各种设备上访问自己的多媒体内容。 Jellyfin Dock是Jellyfin提供的一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值